Vultron
1.0.0
Vultron は、調整された脆弱性開示 (CVD) のためのフェデレーテッド、分散型、オープンソース プロトコルの作成を検討する研究プロジェクトです。これは、ソフトウェアの脆弱性に対する世界的な対応を調整する CERT/CC の数十年にわたる経験から発展しました。目標は、情報処理システム (ソフトウェア、ハードウェア、サービスなど) の脆弱性の開示を調整するためにあらゆる組織が使用できるプロトコルを作成し、独立した組織のプロセスとポリシーにわたる相互運用性のコミュニティを構築することです。脆弱性に対する適切な対応を調整するために協力します。
Vultron はアイデア、モデル、コード、および進行中の作業のコレクションであり、まだ運用環境で使用する準備ができていません。
Vultron は、脆弱性の開示と対応の調整を改善するための CERT/CC の取り組みの継続です。この分野におけるこれまでの取り組みには次のようなものがあります。
脆弱性の協調的開示に関する CERT ガイド (バージョン 1.0、バージョン 2.0)
脆弱性対応の優先順位付け: ステークホルダー固有の脆弱性分類 (SSVC) (バージョン 1.0、バージョン 2.0、github )
脆弱性情報および調整環境 (VINCE) (ブログ投稿、github )
などのさまざまな関連研究
最近では、CERT/CC がこの知識を CVD のプロトコルに形式化することに取り組んでいます。この取り組みは、「多者間で調整された脆弱性開示のための国家ベースのモデル (MPCVD)」から始まり、「Are We Skillful or Just Lucky?」という要約形式でも登場しました。 ACM ジャーナル「デジタル脅威: 研究と実践」における脆弱性開示の可能性のある歴史の解釈。 2022 年に、当社はプロセス モデリング作業と VINCE 構築の経験の両方から得られた、調整された脆弱性開示のユーザー ストーリーのコレクションを発行しました。同年、私たちは「Designing Vultron: A Protocol for Multi-Party Coordined Vulnerability Disclosure (MPCVD)」を公開しました。これは、このリポジトリに含まれる作業の基礎として機能します。
バルトロンは次のとおりです。
上記はすべて、最初に「Designing Vultron: A Protocol for Multi-Party Coowned Vulnerability Disclosure (MPCVD)」レポートで説明されていました。
このリポジトリでは、そのレポートで説明されているプロトコルと動作ロジックの実装に向けた最初の一歩を踏み出しています。現在、この作業は、正式なプロトコルを ActivityPub プロトコルの構文とセマンティクスにマッピングすることに重点を置いています。その方向への最初のステップの例は、doc/examples にあります。
Vultron は、特定の製品のドロップイン代替品ではありません。
その代わりに、Vultron がこれらのシステムとサービス間で脆弱性ケースの調整情報を交換するための共通言語として機能できることを私たちは望んでいます。
Vultron は脆弱性優先順位付けツールではありませんが、SSVC や CVSS などの一般的な優先順位付けスキームと互換性があることを目的としています。
Vultron は製品であることを目的としたものではなく、CVD 関連のさまざまな製品やサービスに実装して相互運用性を可能にする機能セットであることを目的としています。
CVD プロセスのモデリング、形式化、説明における取り組みの詳細については、以下を参照してください。
この取り組みのための正しいライセンス モデルをまだ検討中ですが、現時点では、このリポジトリは含まれている著作権声明の対象となっています。
このトピックに関するフィードバックがある場合 (著作権/ライセンスにより、このプロジェクトでの共同作業が困難になっているかどうかを含む)、問題でお知らせください。
